bencede
New member
Büyük tarayıcı üreticileri ve sertifika veren kuruluşlar, Çevrimiçi Sertifika Durum Protokolü (OCSP) desteğini geçici olarak sonlandırıyorlar ve gelecekte tamamen düzenli olarak güncellenen ancak gerçek zamanlı olmayan Sertifika İptal Listelerine (CRL'ler) güvenecekler. “CA/Tarayıcı Forumu”nda düzenlenen organizasyonların taahhüdüne göre bunlar gelecekte daha hızlı güncellenecektir.
Duyuru
CAB olarak kısaltılan bu forum, tarayıcı üreticilerinin ve sertifika yetkililerinin (CA'lar) oluşturduğu bir birliktir. Komite, “Temel Gereksinimler” olarak adlandırılan belgede, Internet'teki sertifikaların yönetimini, genellikle “TLS sertifikaları” olarak bilinen ITU-T X.509 standardına göre standart hale getirir.
Bazı durumlarda bu tür sertifikaların geçerlilik süreleri dolmadan geri çekilmesi gerekebilir. Bu durum, örneğin, sertifikanın bir parçası olan özel anahtarın uygun olmaması veya başkasının eline geçmesi, sertifikanın yasa dışı olarak verilmiş olması veya yanlış bilgi içermesi durumunda meydana gelir.
“İptal” olarak adlandırılan bu işlem iki şekilde gerçekleşebilir: Sorumlu CA, iptal edilen sertifikanın seri numarasını bir “Sertifika İptal Listesine” (CRL), yani tarayıcılar gibi uzak cihazlardan indirilen ve kullanılan bir listeye ekler. her yeni TLS isteğiyle. Bağlantı kontrol edilir. Bu hantal listeleri ortadan kaldırmak için (Alman araştırma ağı DFN tek başına yaklaşık 700 listeye sahiptir) uzmanlar OCSP protokolünü oluşturdular. Fikir: Arka planda bir liste indirmek ve aradığınız sertifikayı bulmak için zahmetli bir şekilde listeyi kaydırmak yerine, tarayıcı, gerçek zamanlı olarak listenin durumu hakkında bilgi alır.
Ancak OCSP, başından beri pratikte kullanılabilirliğini ciddi şekilde sınırlayan sorunlar yaşadı. OCSP Responder adı verilen doğrulama hizmetleri pek stabil değildi ve Google gibi tarayıcı üreticileri, sertifika bilgilerine yönelik çevrimiçi talepleri gizliliğe yönelik bir tehdit olarak gördü. Yalnızca konumları artık güçlendirilmiş olan CRL'ler kaldı.
CRL için oyun, set, zafer
15 Mart'tan itibaren, sertifika verenlerin tam bir CRL yayınlaması ve sertifikaların iptalden en geç 24 saat sonra orada görünmesi gerekir. Apple ve Mozilla, bunu zaten 2022'de güvenilir CA'lar için bir gereklilik haline getirmişti. Bir CA, OCSP'yi desteklemeye devam etmek isterse bunu yapmak ücretsizdir ancak artık zorunlu değildir.
Bu nedenle, sertifika otoriteleri arasında OCSP'ye verilen desteğin hızla azalacağı ve protokolün belirsizliğe gömüleceği öngörülebilir.
OCSP, web sunucu sertifikalarının yanı sıra Alman tıbbında da sorunlara neden oldu. Gematik, telematik altyapısında (BT) tekrarlanan arızaları protokol zorluklarına bağlıyor. Tıbbi uygulamalar, elektronik reçeteler ve sertifikalar vermek için TI'ya güvenmektedir.
(cku)
Haberin Sonu
Duyuru
CAB olarak kısaltılan bu forum, tarayıcı üreticilerinin ve sertifika yetkililerinin (CA'lar) oluşturduğu bir birliktir. Komite, “Temel Gereksinimler” olarak adlandırılan belgede, Internet'teki sertifikaların yönetimini, genellikle “TLS sertifikaları” olarak bilinen ITU-T X.509 standardına göre standart hale getirir.
Bazı durumlarda bu tür sertifikaların geçerlilik süreleri dolmadan geri çekilmesi gerekebilir. Bu durum, örneğin, sertifikanın bir parçası olan özel anahtarın uygun olmaması veya başkasının eline geçmesi, sertifikanın yasa dışı olarak verilmiş olması veya yanlış bilgi içermesi durumunda meydana gelir.
“İptal” olarak adlandırılan bu işlem iki şekilde gerçekleşebilir: Sorumlu CA, iptal edilen sertifikanın seri numarasını bir “Sertifika İptal Listesine” (CRL), yani tarayıcılar gibi uzak cihazlardan indirilen ve kullanılan bir listeye ekler. her yeni TLS isteğiyle. Bağlantı kontrol edilir. Bu hantal listeleri ortadan kaldırmak için (Alman araştırma ağı DFN tek başına yaklaşık 700 listeye sahiptir) uzmanlar OCSP protokolünü oluşturdular. Fikir: Arka planda bir liste indirmek ve aradığınız sertifikayı bulmak için zahmetli bir şekilde listeyi kaydırmak yerine, tarayıcı, gerçek zamanlı olarak listenin durumu hakkında bilgi alır.
Ancak OCSP, başından beri pratikte kullanılabilirliğini ciddi şekilde sınırlayan sorunlar yaşadı. OCSP Responder adı verilen doğrulama hizmetleri pek stabil değildi ve Google gibi tarayıcı üreticileri, sertifika bilgilerine yönelik çevrimiçi talepleri gizliliğe yönelik bir tehdit olarak gördü. Yalnızca konumları artık güçlendirilmiş olan CRL'ler kaldı.
CRL için oyun, set, zafer
15 Mart'tan itibaren, sertifika verenlerin tam bir CRL yayınlaması ve sertifikaların iptalden en geç 24 saat sonra orada görünmesi gerekir. Apple ve Mozilla, bunu zaten 2022'de güvenilir CA'lar için bir gereklilik haline getirmişti. Bir CA, OCSP'yi desteklemeye devam etmek isterse bunu yapmak ücretsizdir ancak artık zorunlu değildir.
Bu nedenle, sertifika otoriteleri arasında OCSP'ye verilen desteğin hızla azalacağı ve protokolün belirsizliğe gömüleceği öngörülebilir.
OCSP, web sunucu sertifikalarının yanı sıra Alman tıbbında da sorunlara neden oldu. Gematik, telematik altyapısında (BT) tekrarlanan arızaları protokol zorluklarına bağlıyor. Tıbbi uygulamalar, elektronik reçeteler ve sertifikalar vermek için TI'ya güvenmektedir.
(cku)
Haberin Sonu